Om säkerhetsinnehållet i macOS Catalina 10.15.1, säkerhetsuppdatering 2019-001 och säkerhetsuppdatering 2019-006

I det här dokumentet beskrivs säkerhetsinnehållet i macOS Catalina 10.15.1, säkerhetsuppdatering 2019-001 och säkerhetsuppdatering 2019-006.

Om säkerhetsuppdateringar från Apple

Apple skyddar sina kunder genom att aldrig avslöja, diskutera eller bekräfta säkerhetsproblem innan en fullständig utredning har genomförts och alla nödvändiga programkorrigeringar eller utgåvor är tillgängliga. De senaste uppdateringarna visas på sidan Säkerhetsuppdateringar från Apple.

Apples säkerhetsdokument hänvisar till sårbarheter (när det är möjligt) med hjälp av CVE-ID.

Mer information om säkerhet finns på sidan om Apples produktsäkerhet.

macOS Catalina 10.15.1, säkerhetsuppdatering 2019-001, säkerhetsuppdatering 2019-006

Släpptes 29 oktober 2019

Konton

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: En fjärrangripare kan läcka minne

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8787: Steffen Klee på Secure Mobile Networking Lab vid Technische Universität Darmstadt

Uppdaterades 11 februari 2020

Konton

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: AirDrop-överföringar kan oväntat godkännas när läget Alla är aktiverat

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2019-8796: Allison Husain på UC Berkeley

Lades till 4 april 2020

AirDrop

Tillgängligt för: macOS Catalina 10.15

Effekt: AirDrop-överföringar kan oväntat godkännas när läget Alla är aktiverat

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrad validering.

CVE-2019-8796: Allison Husain på UC Berkeley

Lades till 4 april 2020

AMD

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8748: Lilang Wu och Moony Li på TrendMicro Mobile Security Research Team

Lades till 11 februari 2020

apache_mod_php

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Flera problem i PHP

Beskrivning: Flera problem åtgärdades genom att uppdatera till PHP-version 7.3.8.

CVE-2019-11041

CVE-2019-11042

Lades till 11 februari 2020

APFS

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8824: Mac i samarbete med Trend Micros Zero Day Initiative

Lades till 11 februari 2020

App Store

Tillgängligt för: macOS Catalina 10.15

Effekt: En lokal angripare kan logga in på ett konto utan tillgång till giltiga inloggningsuppgifter, om användaren tidigare varit inloggad.

Beskrivning: Ett problem med autentisering åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8803: Kiyeon An, 차민규 (CHA Minkyu)

AppleGraphicsControl

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2019-8817: Arash Tohidi

AppleGraphicsControl

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8716: Zhiyi Zhang på Codesafe Team of Legendsec vid Qi'anxin Group, Zhuo Liang på Qihoo 360 Vulcan Team

Associerade domäner

Tillgängligt för: macOS Catalina 10.15

Effekt: Felaktig bearbetning av webbplatsadress kan leda till exfiltrering av data

Beskrivning: Ett problem förekom i tolkningen av webbadresser. Problemet har åtgärdats genom förbättrad indatavalidering.

CVE-2019-8788: Juha Lindstedt på Pakastin, Mirko Tanania, Rauli Rikama på Zero Keyboard Ltd

Ljud

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8706: Yu Zhou på Ant-financial Light-Year Security Lab

Ljud

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8785: Ian Beer på Google Project Zero

CVE-2019-8797: 08Tc3wBB i samarbete med SSD Secure Disclosure

Uppdaterades 11 februari 2020

Ljud

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Bearbetning av en ljudfil med skadligt innehåll kan leda till att begränsat minne avslöjas

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8850: Anonym i samarbete med Trend Micro Zero Day Initiative

Uppdaterades 18 december 2019

Böcker

Tillgängligt för: macOS Catalina 10.15

Effekt: Tolkning av en skadlig iBooks-fil kan leda till att användarinformation avslöjas

Beskrivning: Ett valideringsproblem förekom i hanteringen av symlänkar. Problemet åtgärdades genom förbättrad validering av symlänkar.

CVE-2019-8789: Gertjan Franken på imec-DistriNet, KU Leuven

Kontakter

Tillgängligt för: macOS Catalina 10.15

Effekt: Bearbetning av en skadlig kontakt kan leda till förfalskning av användargränssnitt

Beskrivning: Ett problem med inkonsekvent användargränssnitt åtgärdades med hjälp av förbättrad tillståndshantering.

CVE-2017-7152: Oliver Paukstadt på Thinking Objects GmbH (to.com)

CoreAudio

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Uppspelning av en skadlig ljudfil kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad indatavalidering.

CVE-2019-8592: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 6 november 2019

CoreAudio

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Bearbetning av en film med skadligt innehåll kan leda till att processminnet avslöjas

Beskrivning: Ett minnesfel åtgärdades med hjälp av förbättrad validering.

CVE-2019-8705: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 11 februari 2020

CoreMedia

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Bearbetning av skadligt webbinnehåll kan leda till körning av opålitlig kod

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8825: Hittades av GWP-ASan i Google Chrome

Lades till 11 februari 2020

CUPS

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En angripare med privilegierad nätverksposition kan läcka känslig användarinformation

Beskrivning: Ett indatavalideringsfel åtgärdades genom förbättrad indatavalidering.

CVE-2019-8736: Pawel Gocyla på ING Tech Poland (ingtechpoland.com)

CUPS

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Bearbetning av en skadlig sträng kan leda till heap-fel

Beskrivning: Ett problem med minnesförbrukningen åtgärdades genom förbättrad minneshantering.

CVE-2019-8767: Stephen Zeisberg

CUPS

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En angripare i en privilegierad position kan orsaka ett dos-angrepp

Beskrivning: Ett problem med dos-angrepp åtgärdades genom förbättrad validering.

CVE-2019-8737: Pawel Gocyla på ING Tech Poland (ingtechpoland.com)

Filkarantän

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Ett skadligt program kan öka behörigheter

Beskrivning: Problemet åtgärdades genom borttagning av den sårbara koden.

CVE-2019-8509: CodeColorist på Ant-Financial LightYear Labs

Filsystemhändelser

Tillgängligt för: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8798: ABC Research s.r.o. i samarbete med Trend Micros Zero Day Initiative

Foundation

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: En fjärrangripare kunde orsaka ett oväntat programavslut eller körning av opålitlig kod

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades genom förbättrad indatavalidering.

CVE-2019-8746: Natalie Silvanovich och Samuel Groß på Google Project Zero

Lades till 11 februari 2020

Grafik

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Bearbetning av skadlig shader kan leda till oväntad programavslutning eller körning av opålitlig kod

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2018-12152: Piotr Bania på Cisco Talos

CVE-2018-12153: Piotr Bania på Cisco Talos

CVE-2018-12154: Piotr Bania på Cisco Talos

Grafikdrivrutin

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8784: Vasiliy Vasilyev och Ilya Finogeev från Webinar, LLC

Intel Graphics-drivrutin

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8807: Yu Wang på Didi Research America

IOGraphics

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal användare kan eventuellt orsaka att systemet avslutas oväntat eller att kernelminnet läses

Beskrivning: Ett problem med läsning utanför gränserna åtgärdades med förbättrad kontroll av gränserna.

CVE-2019-8759: ytterligare en av 360 Nirvan Team

iTunes

Tillgängligt för: macOS Catalina 10.15

Effekt: När iTunes-installationsprogrammet körs i en otillförlitlig katalog kan det leda till körning av opålitlig kod

Beskrivning: Ett laddningsproblem med ett dynamiskt bibliotek förekom i iTunes-installationen. Det här åtgärdades genom förbättrade sökvägar.

CVE-2019-8801: Hou JingYi (@hjy79425575) från Qihoo 360 CERT

Kernel

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8709: derrek (@derrekr6) derrek (@derrekr6)

Lades till 11 februari 2020

Kernel

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program utan rättigheter kan läsa det begränsade minnet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad indatasanering.

CVE-2019-8794: 08Tc3wBB i samarbete med SSD Secure Disclosure

Kernel

Tillgängligt för macOS Mojave 10.14.6, macOS High Sierra 10.13.6 och macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8717: Jann Horn på Google Project Zero

CVE-2019-8786: Wen Xu på Georgia Tech, Microsoft Offensive Security Research Intern

Uppdaterades 18 november 2019, uppdaterades 11 februari 2020

Kernel

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Ett skadligt program kan ta reda på schemat för kärnminnet

Beskrivning: Ett minnesfel förekom i hantering av IPv6-paket. Problemet åtgärdades genom förbättrad minneshantering.

CVE-2019-8744: Zhuo Liang på Qihoo 360 Vulcan Team

Kernel

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med kernelbehörighet

Beskrivning: En sårbarhet för minnesfel åtgärdades med förbättrad låsning.

CVE-2019-8829: Jann Horn på Google Project Zero

Lades till 6 november 2019

libxml2

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flera problem i libxml2

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2019-8749: hittad av OSS-Fuzz

CVE-2019-8756: hittad av OSS-Fuzz

libxslt

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Flera problem i libxslt

Beskrivning: Flera minnesfel åtgärdades med hjälp av förbättrad indatavalidering.

CVE-2019-8750: hittad av OSS-Fuzz

manpages

Tillgängligt för: macOS High Sierra 10.13.6, macOS Catalina 10.15

Effekt: Ett skadligt program kan tillskansa sig rotbehörighet

Beskrivning: Ett valideringsproblem hanterades genom förbättrad logik.

CVE-2019-8802: Csaba Fitzl (@theevilbit)

PDFKit

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: En angripare kan komma åt innehåll i krypterade pdf-filer

Beskrivning: Ett problem förekom i hanteringen av länkar i krypterade pdf-filer. Problemet åtgärdades genom tillägg av en bekräftelsedialog.

CVE-2019-8772: Jens Müller på Ruhr University Bochum, Fabian Ising på FH Münster University of Applied Sciences, Vladislav Mladenov på Ruhr University Bochum, Christian Mainka på Ruhr University Bochum, Sebastian Schinzel på FH Münster University of Applied Sciences och Jörg Schwenk på Ruhr University Bochum

Lades till 11 februari 2020

PluginKit

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: En lokal användare kan kontrollera om det förekommer opålitliga filer

Beskrivning: Ett logikproblem åtgärdades med hjälp av förbättrade begränsningar.

CVE-2019-8708: en anonym forskare

PluginKit

Tillgängligt för: macOS High Sierra 10.13.6, macOS Mojave 10.14.6

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8715: en anonym forskare

Server för Skärmdelning

Tillgängligt för: macOS Catalina 10.15

Effekt: En användare som delar sin skärm kan kanske inte avsluta skärmdelning

Beskrivning: Ett logikfel åtgärdades genom förbättrad tillståndshantering.

CVE-2019-8858: Saul van der Bijl på Saul’s Place Counseling B.V.

Lades till 18 december 2019

Systemtillägg

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett valideringsproblem förekom i behörighetsvalideringen. Problemet åtgärdades med hjälp av förbättrad validering av processbehörigheten.

CVE-2019-8805: Scott Knight (@sdotknight) på VMware Carbon Black TAU

UIFoundation

Tillgängligt för: macOS Catalina 10.15

Effekt: Ett skadligt HTML-dokument kan rendera iframes med känslig användarinformation

Beskrivning: Ett problem med data från flera källor förekom i ”iframe”-element. Problemet åtgärdades genom förbättrad spårning av säkerhetskällor.

CVE-2019-8754: Renee Trisberg på SpectX

Lades till 24 februari 2020

UIFoundation

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Bearbetning av en skadlig textfil kan leda till opålitlig kodkörning

Beskrivning: Ett buffertspill åtgärdades med förbättrad gränskontroll.

CVE-2019-8745: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 11 februari 2020

UIFoundation

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Ett program kan köra opålitlig kod med systembehörighet

Beskrivning: Ett minnesfel åtgärdades genom förbättrad minneshantering.

CVE-2019-8831: riusksk på VulWar Corp i samarbete med Trend Micros Zero Day Initiative

Lades till 11 februari 2020

UIFoundation

Tillgängligt för: macOS Mojave 10.14.6, macOS High Sierra 10.13.6

Effekt: Tolkning av en textfil med skadligt innehåll kan leda till att användarinformation avslöjas

Beskrivning: Problemet åtgärdades med förbättrade kontroller.

CVE-2019-8761: Paulos Yibelo på Limehats, Renee Trisberg på SpectX

Uppdaterades 10 augusti 2020

Wifi

Tillgängligt för: macOS Catalina 10.15

Effekt: En angripare inom Wi-Fi-räckhåll kan eventuellt visa en liten mängd nätverkstrafik

Beskrivning: Det fanns ett logikproblem i hanteringen av tillståndsövergångar. Problemet åtgärdades genom förbättrad tillståndshantering.

CVE-2019-15126: Milos Cermak på ESET

Lades till 11 februari 2020

Ytterligare tack

CFNetwork

Vi vill tacka Lily Chen på Google för hjälpen.

Hitta

Vi vill tacka Amr Elseehy för hjälpen.

Lades till 28 juli 2020

Kernel

Vi vill tacka Brandon Azad på Google Project Zero, Daniel Roethlisberger på Swisscom CSIRT och Jann Horn på Google Project Zero för hjälpen.

Uppdaterades 6 november 2019

libresolv

Vi vill tacka enh på Google för hjälpen.

Lokal autentisering

Vi vill tacka Ryan Lopopolo för hjälpen.

Lades till 11 februari 2020

mDNSResponder

Vi vill tacka Gregor Lang på e.solutions GmbH för hjälpen.

Lades till 11 februari 2020

Postfix

Vi vill tacka Chris Barker på Puppet för hjälpen.

python

Vi vill tacka en anonym forskare för hjälpen.

VPN

Vi vill tacka Royce Gawron på Second Son Consulting, Inc. för hjälpen.

Information om produkter som inte tillverkas av Apple eller som finns på oberoende webbplatser som inte står under Apples kontroll eller testats av Apple anges endast i informationssyfte och är inte att betrakta som rekommendationer av eller stöd för produkterna. Apple tar inget ansvar för valet eller nyttjandet av webbplatser eller produkter från tredje part och inte heller för produkternas prestanda. Apple garanterar inte att informationen på webbplatser från tredje part är korrekt eller tillförlitlig. Kontakta leverantören för mer information.

Publiceringsdatum: